【漏洞通告】Django SQL注入漏洞（CVE-2024-42005）

文章预览

一、漏洞 概述 漏洞名称     Django  SQL注入漏洞 CVE   ID CVE-2024-42005 漏洞类型 SQL注入 发现时间 2024-08-08 漏洞评分 9.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Django是一个基于Python的开源Web应用框架。 8月8日，启明星辰集团VSRC监测到Django项目发布安全公告，修复了Django中的一个SQL注入漏洞（CVE-2024-42005），该漏洞的CVSS评分为9.1。 Django多个受影响版本中，当使用 QuerySet.values() 或 values_list() 方法从数据库中提取数据，并且模型中包含JSONField 字段类型时，威胁者可以通过传递特制JSON 对象键（这些键名在生成的 SQL 查询中可能会被用作列别名）作为参数（*args）执行SQL 注入攻击，成功利用该漏洞可能导致执行任意SQL 命令，从而访问、修改或删除数据库中的数据。 二、影响范围 5.0 < = Django < 5. ………………………………